Ищем инженера по безопасности приложений в команду, которая развивает внутренние инструменты безопасности для разработки. Это роль на стыке безопасности приложений, разработки и DevSecOps: вы будете не только находить риски, но и превращать требования безопасности в удобные автоматизированные проверки, встроенные в повседневный процесс разработки. Команда развивает и внедряет инструменты, которые помогают выявлять проблемы безопасности на разных этапах жизненного цикла разработки: на уровне исходного кода, зависимостей, интерфейсов взаимодействия, мобильных приложений и процессов поставки. Роль предполагает заметную инженерную составляющую: проектирование проверок, исследование подходов, интеграции и развитие корпоративных решений для практик SAST, SCA, DAST, MAST и смежных направлений.

Обязанности

### Тебе предстоит:

  • развивать инструменты проверки безопасности приложений, встроенные в процесс разработки
  • разрабатывать, поддерживать и улучшать автоматизированные проверки безопасности для различных классов задач: анализ исходного кода, зависимостей, секретов, API и других артефактов разработки
  • проектировать и внедрять интеграции инструментов безопасности в CI/CD и процессы разработки
  • разрабатывать и поддерживать правила и автоматизацию для практик SAST, SCA, DAST, MAST и смежных направлений
  • интегрировать инструменты безопасности в secure SDLC и CI/CD так, чтобы они были полезны разработчикам и не создавали лишних затруднений в работе
  • проводить моделирование угроз и проверку безопасности новых функций, сервисов и архитектурных решений на ранних этапах
  • валидировать результаты сканирования, фильтровать ложные срабатывания и приоритизировать уязвимости по уровню технических и бизнес-рисков для настройки правил и автоматизации
  • помогать командам разработки устранять уязвимости: объяснять причины, риски и варианты исправления понятным инженерным языком
  • искать точки, где ручную экспертизу можно превратить в автоматизированную проверку
  • участвовать в исследовании и развитии новых подходов и инструментов безопасности приложений в зависимости от потребностей команды и компании.

Требования

### Что для нас важно:

  • практический опыт в безопасности приложений, безопасности продукта или DevSecOps от 2 лет или опыт разработки программного обеспечения с заметным переходом в направление безопасности
  • уверенное владение хотя бы одним языком программирования для разработки и автоматизации: Python/Go/Java будут преимуществом
  • понимание secure SDLC и практик раннего встраивания безопасности в процесс разработки
  • опыт работы с инструментами и подходами из областей SAST/SCA/secret scanning/API
  • опыт интеграции проверок безопасности в CI/CD
  • практический опыт проверки безопасности исходного кода и понимание типовых уязвимостей хотя бы для части из следующих стеков: Java, Go, Python, JavaScript/TypeScript, PHP, C/C++
  • хорошее понимание OWASP Top 10, OWASP ASVS, принципов безопасной разработки API
  • понимание современных архитектур: микросервисы, REST/gRPC, Kubernetes, контейнеризация
  • умение самостоятельно исследовать проблему, предлагать инженерное решение и доводить его до рабочего результата.

**Будет плюсом:**

  • опыт разработки или доработки плагинов для IDE, линтеров, статических анализаторов или внутренних инструментов для разработчиков
  • практический опыт в безопасности API
  • опыт построения корпоративных решений или внутренних платформ безопасности
  • знание подходов к проверке контрактов API и соответствия реализации спецификации
  • опыт работы с подходами к моделированию угроз
  • знания в области безопасности мобильных приложений: OWASP Mobile Top 10, MASVS, OWASP MASTG
  • практический опыт анализа и тестирования безопасности мобильных приложений с использованием инструментов вроде jadx, apktool, MobSF и аналогичных
  • участие в bug bounty, CTF или open-source проектах
  • опыт поиска и снижения доли ложных срабатываний в инструментах безопасности.

**Что важно в этой роли:**

  • умение говорить с разработчиками на одном языке и помогать им решать проблему, а не просто передавать найденные замечания
  • инженерный склад мышления: для нас важно не только увидеть риск, но и встроить защиту в процесс так, чтобы она реально работала в масштабе
  • способность балансировать между глубиной анализа безопасности и удобством для внутренних пользователей инструментов.

Условия

### Мы предлагаем:

  • комфортный современный офис
  • офисный формат работы
  • ежегодный пересмотр зарплаты, годовая премия
  • корпоративный спортзал и зоны отдыха
  • более 400 образовательных программ СберУниверситета для профессионального и карьерного развития
  • программа адаптации и помощь руководителя на старте
  • расширенный ДМС, льготное страхование для семьи и корпоративная пенсионная программа
  • гибкий дисконт по ипотечному кредиту, равный 1/3 ключевой ставки ЦБ
  • бесплатная подписка СберПрайм+, скидки на продукты компаний-партнеров
  • вознаграждение за рекомендацию друзей в команду Сбера.